Przetwarzanie sesji - uczenie maszynowe¶
Fudo Enterprise jest w stanie wykryć zmiany w zachowaniu użytkowników i pomóc w identyfikacji przypadków, w których dostęp do konta uprzywilejowanego został uzyskany przez osoby nieupoważnione. Fudo Enterprise śledzi także parametry ilościowe sesji i informuje administratora o nadmiernie dużej liczbie połączeń lub podejrzanie długo trwającej sesji.
Model zawartości¶
Model zawartości analizuje sesje RDP oraz SSH w celu zbudowania indywidualnych profili behawioralnych użytkowników. Na podstawie zebranych danych, Fudo Enterprise może wykryć najdrobniejsze zmiany w zachowaniach użytkowników i pomóc w zapobiegnięciu nadużycia praw dostępu.
Model RDP
Model zawartości RDP oparty jest na analizie ruchu kursora myszy.
Wymagania ilościowe modelu RDP:
Minimalne:
- 5 godzin nagranych sesji dla jednego predyktora,
- 5 unikatowych predyktorów (np. użytkowników).
Optymalne:
- 30 godzin nagranych sesji dla jednego predyktora,
- 10 unikatowych predyktorów.
Informacja
Jakość modelu RDP zależy od konsekwencji sposobu interakcji użytkownika z monitorowanym systemem. Jeśli użytkownik korzystał z różnych systemów operacyjnych i różnych urządzeń wejściowych (np. różne myszki, trackpad, trackball), model będący wynikiem analizy sesji nie będzie efektywny, z uwagi na wysoką tolerancję sposobu interakcji użytkownika z systemem.
Model SSH
Model SSH treści oparty jest na analizie komend wprowadzonych przez użytkownika.
Wymagania ilościowe modelu SSH:
Minimalne:
- 65 nagranych sesji (minimum 25 unikatowych komend w każdej sesji),
- 5 unikatowych predyktorów (np. użytkowników).
Optymalne:
- 300 nagranych sesji dla każdego predyktora,
- 10 unikatowych predyktorów.
Ocena sesji¶
Fudo Enterprise analizuje sesję w czasie rzeczywistym i wyznacza poziom zagrożenia (OK, NISKI, WYSOKI) w zależności od tego jak zachowanie użytkownika odbiega od schematu zapisanego w modelu.
Informacja
Sesje przetwarzane są w cząstkach o stałej liczbie zdarzeń. Przetwarzanie odbywa się w czasie rzeczywistym, o ile dostępne są zasoby odpowiedzialne za analizę sesji. W przypadku braku zasobów, bieżące sesje nie są analizowane.
Modele są kalibrowane indywidualnie a wyniki analizy prezentowane są na liście sesji.
| Ikona | Opis |
|---|---|
| . | Sesja w trakcie analizy, wstępny wynik - brak zagrożenia. |
| . | Sesja w trakcie analizy, wstępny wynik - średni poziom zagrożenia. |
| . | Sesja w trakcie analizy, wstępny wynik analizy - wysoki poziom zagrożenia. |
| . | Sesja oczekuje na analizę lub jest wstępnie przetwarzana. |
| . | Sesja nie poddana analizie z uwagi na brak wyuczonego modelu. |
| . | Sesja przetworzona - brak zagrożenia. |
| . | Sesja przetworzona - średni poziom zagrożenia. |
| . | Sesja przetworzona - wysoki poziom zagrożenia. |
| . | Sesja przetworzona - brak wyniku analizy. |
Informacja
Efektywność modelu SSH ściśle zależy od jakości danych użytych w procesie trenowania. Jeśli użytkownik udostępniał dane logowania innym, powstały na tej podstawie model może nie być w stanie stwierdzić różnicy w zachowaniach użytkowników.
Informacja (popup) o poziomie zagrożenia sesji zawiera wartość indywidualną Prawdopodobieństwa Zagrożenia dla każdego modelu, oceniającego sesję. Prawdopodobieństwo zagrożenia jest wartością procentową, wskazującą poziom zagrożenia sesji. Poziom prawdopodobieństwa zagrożenia jest kolorowany na podstawie logiki, opisanej poniżej:
Ikona o kolorze . wskazuje wartość Prawdopodobieństwa Zagrożenia poniżej 50%.
Ikona nabywa koloru . kiedy Prawdopodobieństwo Zagrożenia jest powyżej 50%, z tym że zasadnicze statystyki modelu wskazują, że może to powodować powstanie też wartości False Positive Rate (FPR) powyżej 5%. W tym wypadku w wyniku trenowania modelu powstaje wyższy, indywidualny dla każdej pary Użytkownik-model ML próg procentowy dla uzyskania najbardziej optymalnego rezultatu.
Ikona jest o kolorze . kiedy Prawdopodobieństwo Zagrożenia jest powyżej 50%, a wartość False Positive Rate poniżej 5%. Jeśli wymagania False Positive Rate nie zostają osiągnięte, jest wybierany wyższy próg, zgodnie z definicją False Positive Rate (FPR).
Wykres Prawdopodobieństwa Zagrożenia Sesji pokazuje wyniki prawdopodobieństwa zagrożenia dla konkretnych odcinków sesji (nazywane segmentami), obliczone na podstawie trenowania modeli AI. Segment - to zbior akcji/działań użytkownika, na podstawie których model może wykonać pojedynczą predykcję.
Informacja
Sesja powinna być wystarczająco długa, by algorytmy predykcji zostały uruchomione. Minimalna długość sesji, wymagana by analiza została wykonana - to 3 segmenty (około 1 minuty).
Dodatkowo, wykres Prawdopodobieństwa Zagrożenia Sesji zawiera przekierowanie do konkretnego segmentu sesji w playerze, co pozwala na szybką reakcję po stronie administratora. Administrator może przeanalizować wyniki, dostarczone przez wytrenowane modele AI oraz poprawić ustawienia dla przyszłych sesji. Na przykład, poprzez dodanie Polityki, wysyłającej powiadomienie, kiedy podany próg prawdopodobieństwa zagrożenia zostanie przekroczony.
Informacja
Proces aktualizacyjny do wersji Fudo Enterprise 5.3 usuwa wyniki obliczania poziomu zagrożenia sesji, wyrachowane przed aktualizacją systemu i wprowadza nowy algorytm. Dla „starych” sesji informacja szczegółowa nie jest dostępna.
Modele ilościowe¶
Fudo Enterprise monitoruje liczbę połączeń oraz ich czas trwania i może zaalarmować administratora jeśli stwierdzi nadzwyczaj dużą liczbę połączeń jednoczesnych lub podejrzanie długo trwającą sesję.
Ocena bieżąca dokonywana jest w odniesieniu do danych historycznych, zebranych dla użytkowników, kont i serwerów dla każdego dnia tygodnia i każdej godziny.
Tematy pokrewne: